Użytkownicy rozwiązań hostowanych w Atlassian Cloud nie muszą się obawiać o swoje dane, ponieważ są one chronione na wielu poziomach.
Czy chmura Atlassian jest bezpieczna? To pytanie często zadawane przez użytkowników Jira Software, Jira Work Management, Jira Service Management, Confluence i innych rozwiązań Atlassian oferowanych w modelu chmurowym. Odpowiedź jest jedna, aplikacje w modelu cloud są wyjątkowo dobrze chronione. Atlassian Cloud zapewnia najwyższy poziom cyberbezpieczeństwa, począwszy od infrastruktury, ochrony danych, w tym danych wrażliwych, po proaktywne wykrywanie zagrożeń oraz odzyskiwanie po awarii, jeśli taka miałaby miejsce.
Wszystkie rozwiązania Atlassian są hostowane w AWS (Amazon Web Services), w różnych regionach świata. AWS zapewnia fizyczne, infrastrukturalne i sieciowe bezpieczeństwo swoich usług. Na tej zaufanej platformie Atlassian buduje i utrzymuje aplikacje, a także zarządza bezpieczeństwem danych klientów. Jest to środowisko w architekturze multi-tenant, obsługujące wielu dzierżawców. Ich zasoby są jednak od siebie doskonale izolowane. W momencie gdy klient uzyskuje dostęp do chmurnych aplikacji Jira, Confluence, czy innych produktów, wykorzystywany jest specjalny identyfikator zawierający metadane potrzebne do potwierdzenia jego tożsamości.
Przeprowadź migrację
Jiry z Optimatis
Należy pamiętać, że w przeciwieństwie do samodzielnie zarządzanych środowisk, chmura wymaga współodpowiedzialności dostawcy i użytkownika w kwestii zapewnienia bezpieczeństwa. Zatem działania Atlassian i AWS muszą być wsparte odpowiednimi działaniami po stronie użytkownika. Dopiero taka synergia tworzy mocną linię obrony przed zagrożeniami.
Za bezpieczeństwo odpowiedzialni są także partnerzy Marketplace. którzy dostarczają aplikacje zwiększające funkcjonalność produktów Atlassian. Zanim umieszczą aplikację w Marketplace, muszą spełnić szereg warunków dotyczących bezpieczeństwa, mogą też brać udział w programach, które dodatkowo wzmacniają ich wiarygodność. Aplikacje partnerów, którzy w nich uczestniczą mają specjalne oznaczenia: Secutiry Participiant oraz Cloud Fortified.
Spis treści
Podział odpowiedzialności za bezpieczeństwo w Atlassian Cloud
Atlassian, AWS i użytkownicy stanowią jeden zespół, wspólnie dbający o wysoki poziom ochrony rozwiązań w chmurze.
AWS | Atlassian | Użytkownik |
Fizyczne bezpieczeństwo i redundancja w data center. | Budowa zaufanych i skalowalnych aplikacji na platformie AWS. | Bezpieczne użytkowanie produktów Atlassian – ich poprawna konfiguracja i zarządzanie uprawnieniami. |
Zapewnienie wysokiego poziomu ochrony sieci i dostępności systemu. | Zapewnienie bezpieczeństwa sieci i własnych produktów.
| Bezpieczne użytkowanie usług Atlassian, w tym klasyfikacja danych i zarządzanie dostępem do danych. |
Świadczenie usług zgodnych z globalnymi regulacjami i standardami. | Adopcja usług AWS w celu dostarczania zaufanych i bezpiecznych produktów. | Edukowanie załogi w zakresie bezpiecznych praktyk i wytycznych dostarczanych przez Atlassian. |
Oferowanie procedur odzyskiwania danych po awarii. | Ochrona integralności danych klientów przechowywanych na serwerach Atlassian. | Zapewnienie, że korzystanie z usługi jest zgodne z określonymi przepisami branżowymi i wewnętrznymi politykami. |
Zarządzanie incydentami bezpieczeństwa mającymi wpływ na infrastrukturę i reagowanie na nie. | Koordynowanie z AWS odpowiedzi na incydenty. | Reagowanie na incydenty wynikające z korzystania z usługi, takie jak np. naruszenia danych spowodowane błędnie skonfigurowanymi ustawieniami. |
Jakie działania podejmuje Atlassian w celu ochrony chmury?
Atlassian zapewnia swoim chmurowym klientom kompleksową ochronę we wszystkich newralgicznych obszarach, takich jak:
- infrastruktura,
- bezpieczeństwo danych,
- tworzenie kopii zapasowych,
- odzyskiwanie po awarii,
- zarządzanie incydentami i obsługa incydentów.
-
Zarządzanie bezpieczeństwem infrastruktury.
Funkcje związane z zapewnieniem bezpieczeństwa są częścią warstwy infrastruktury chmury, która została zaprojektowana w celu stworzenia bezpiecznej przestrzeni dla aplikacji. Atlassian wdrożył w chmurze wiele silnych zabezpieczeń, w tym m. in. Transport Layer Security (TLS) - protokół kryptograficzny, który zapewnia poufność i integralność transmisji danych. -
Ochrona danych przed eksfiltracją.
Ochrona danych przed nieautoryzowanym usunięciem, znanym inaczej eksfiltracją, jest bardzo ważną częścią polityki zabezpieczania aplikacji w Atlassian Cloud. Atlassian używa różnych metod w celu powstrzymania nieautoryzowanego transferu danych, jest to m. in. Amazon GuardDuty, który wykorzystuje uczenie maszynowe i analizę zagrożeń do wykrywania szkodliwych działań. Z kolei integracja z McAfee MVISION Cloud umożliwia automatyczne monitorowanie bezpieczeństwa i analizuje zachowania użytkowników pod względem ryzyka. Atlassian udostępnia również klientom narzędzia do monitorowanie korzystania z weryfikacji dwuetapowej, dotyczącej wszystkich osób uzyskujących dostęp do produktów chmurowych. -
Tworzenie kopii zapasowych danych i odzyskiwanie danych po awarii.
Atlassian wykorzystuje infrastrukturę AWS do regularnego tworzenia kopii zapasowych. Wykonuje pełne i przyrostowe kopie zapasowe, które są niezmienne, z maksymalnym czasem czasem odzyskiwania wynoszącym 6 godzin. Jednak w modelu współodpowiedzialności ważną rolę odgrywa również wykonywanie indywidualnych kopii zapasowych przez użytkowników. Własny backup jest ważny także dlatego, że Atlassian nie używa swoich kopii zapasowych do przywracania destrukcyjnych zmian zainicjowanych przez klienta, takich jak choćby nadpisywanie pól przy użyciu skryptów. -
Zarządzanie incydentami.
Atlassian opracował przejrzysty przewodnik dotyczący zarządzania incydentami. Rozwiązania jakich w tym celu używa to Opsgenie do wysyłania alertów, Slack do szybkich czatów tekstowych i Zoom do czatów wideo. Każdy incydent jest zapisywany jako zgłoszenie w Jira w celu dalszego, scentralizowanego śledzenia zdarzenia. Z kolei Confluence wykorzystywany jest do tworzenia dokumentów i statusu incydentu, a po jego rozwiązaniu, za pośrednictwem bloga, podawana jest informacja o uporaniu się z problemem. -
Pomoc w obsłudze incydentów.
Atlassian oferuje całodobowe wsparcie - Escalation Management, dzięki temu gdy wystąpi incydent zawsze dostępna jest pomoc. Zespoły wsparcia w głównych regionach świata pracują przez cały dzień i pomagają w rozwiązywaniu problemów, niezależnie od tego, skąd pochodzi użytkownik. Dzięki systemowi obsługi incydentów obciążenie związane z wewnętrznym zarządzaniem incydentami jest znacznie mniejsze.
Zabezpiecz swoje dane i operacje - przeprowadź z nami migrację Jiry do chmury.
Wypełnij formularz, skontaktujemy się z Tobą i doradzimy najlepsze rozwiązanie.
Zespół do zadań specjalnych i testowanie obszarów ryzyka
Atlassian posiada własny zespół etycznych hakerów, który stale testuje rozwiązana w chmurze pod kątem potencjalnego incydentu. Atlassian Red Team zajmuje się symulacją ataków cybernetycznych naśladując sposób działania cyberprzestępców. Jeśli uda mu się zinfiltrować i zaatakować system, powiadamiają wszystkich zaangażowanych i współpracują przy łataniu luk wykrytych w zabezpieczeniach.
Prócz działań Red Team regularnie są prowadzone testy penetracyjne wykonywane przez zewnętrzne firmy konsultingowe zajmujące się cyberbezpieczeństwem. Testy dotyczą usług i produktów wysokiego ryzyka, np. nowej konfiguracji infrastruktury, nowego produktu lub istotnej zmiany w zakresie architektury.
Również sami użytkownicy mogą zgłaszać znalezione luki i podatności.
Regulacje i rezydencja danych w Atlassian Cloud
Chociaż firmy pracują nieraz w bardzo wielu lokalizacjach geograficznych, to regulacje prawne i branżowe często wymagają, aby dane były przechowywane w konkretnym regionie. Organizacje korzystające z usług chmurowych boją się uchybień związanych z rezydencją danych. Mogą one bowiem skutkować wysokimi karami finansowymi, a także uszczerbkiem na wizerunku. Ale Atlassian Cloud i tu wychodzi klientom naprzeciw, oferując usługę rezydencji danych w różnych obszarach geograficznych, co pozwala przypisać je do wymaganej przez prawo lokalizacji. Każdy region ma ponadto wiele stref dostępności (AZ – availability zone). Jeśli awaria wystąpi w strefie dostępności w regionie, do którego przypięto dane, nastąpi przełączenie awaryjne do innego AZ, w tym samym regionie, aby można było nadal wypełniać obowiązki związane z miejscem przechowywania danych.
Atlassian wbudowuje też w swoje produkty chmurowe narzędzia do zachowania zgodności z regulacjami. Są one poświadczone certyfikatami informującymi, że wdrożono w usługach SaaS mechanizmy kontrolne dotyczące utrzymania zgodności w różnych branżach. Każdy z certyfikatów otrzymuje niezależną walidację od strony trzeciej. Obecnie Atlassian posiada takie certyfikacje jak m.in.: ISO 2700, ISO 27018, NIST, GDPR, PCI DSS, AICPA SOC, HIPAA, CSA Cloud Security Alliance. APRA oraz EBA.
Artykuł powstał na podstawie materiałów firmy Atlassian, w tym: Atlassian Cloud: Resilience by Design oraz Atlassian Cloud data protection
